IPA vs apenas caixas LDAP para Linux - procurando uma comparação

Existem poucas (~ 30) caixas Linux (RHEL) e estou procurando uma solução gerenciada centralizada e fácil, principalmente para controlar contas de usuários. Estou familiarizado com o LDAP e implantei um piloto do IPA ver2 da Red Hat (== FreeIPA).

Entendo que, em teoria, o IPA fornece uma solução semelhante ao "domínio MS Windows", mas, à primeira vista, ainda não é um produto tão fácil e maduro. Além do SSO, existem recursos de segurança disponíveis apenas no domínio IPA e não disponíveis quando estou usando LDAP?

Não sou interessante em partes DNS e NTP do domínio IPA.

Antes de tudo, eu diria que o IPA é perfeitamente adequado para um ambiente de produção a partir de agora (e já existe há bastante tempo), embora você deva estar usando a série 3.x até agora.

O IPA não fornece uma solução "semelhante ao MS Windows AD", mas oferece a capacidade de configurar uma relação de confiança entre um Active Directory e um domínio IPA, que é realmente um Kerberos REALM.

Com relação a alguns dos recursos de segurança que você pode usar fora da caixa com IPA não está presente em uma instalação padrão do LDAP, ou um Kerberos REINO baseado em LDAP, vamos citar alguns:

• armazenando chaves SSH para usuários
• Mapeamentos do SELinux
• Regras HBAC
• regras do sudo
• definindo políticas de senha
• manuseio de certificado (X509)

Relacionado ao SSO, lembre-se de que o aplicativo de destino deve suportar autenticação Kerberos e autorização LDAP. Ou poder falar com o SSSD.

Por fim, você não precisa configurar o NTP nem o DNS, se não quiser, ambos são opcionais. No entanto, eu recomendo usar os dois, pois você sempre pode delegar o NTP em um nível mais alto e configurar encaminhadores para qualquer coisa fora do seu reino facilmente.